Без схемы сложно понять, что пытаетесь настроить. Ниже приложу свою схему своей собственной домашней сети, где я настроил, как мне кажется, именно то, что вы хотите сделать, только вместо микрота у меня opnsense, а вместо опенврт ubuntu-server с синг боксом. Стрелками показаны пути прохождения трафика через/в обход прокси согласно правилам PBR. Трафик в сторону прокси пойдёт через интерфейс vlan10 роутера, а проксированный трафик будет возвращаться на vlan20 и далее уходить в интернет.
Ориентируйтесь на эту схему, использование двух линковочных интерфейсов помогает избежать петель и прочих неудобств. В tun синг бокса попадает то, что приходит на интерфейс vlan 10, а на vlan 20 настроено iptables -t nat -A POSTROUTING -o vlan20 -j MASQUERADE
Маршрут по умолчанию на убунту через vlan 20, прописан обратный маршрут до LAN через vlan 10:
@ubnt:~# ip route
default via 10.0.20.1 dev vlan20 proto static metric 100
10.0.10.0/30 dev vlan10 proto kernel scope link src 10.0.10.2
10.0.20.0/30 dev vlan20 proto kernel scope link src 10.0.20.2
172.16.1.0/24 via 10.0.10.1 dev vlan10 proto static metric 100
@ubnt:~# ip a
1: enp6s18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether bc:24:11:0f:74:19 brd ff:ff:ff:ff:ff:ff
inet6 fe80::be24:11ff:fe0f:7419/64 scope link
valid_lft forever preferred_lft forever
2: vlan10@enp6s18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether bc:24:11:0f:74:19 brd ff:ff:ff:ff:ff:ff
inet 10.0.10.2/30 brd 10.0.10.3 scope global vlan10
valid_lft forever preferred_lft forever
inet6 fe80::be24:11ff:fe0f:7419/64 scope link
valid_lft forever preferred_lft forever
3: vlan20@enp6s18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether bc:24:11:0f:74:19 brd ff:ff:ff:ff:ff:ff
inet 10.0.20.2/30 brd 10.0.20.3 scope global vlan20
valid_lft forever preferred_lft forever
inet6 fe80::be24:11ff:fe0f:7419/64 scope link
valid_lft forever preferred_lft forever